Já viu o filme “Openheimer” de Christopher Nolan? Se ainda não, vá que vale a pena, de preferência em ecrã Imax. Tratando-se de História Universal, não lhe estrago a experiência se recordar um elemento do filme. No início do projecto Manhattan surgiu a hipótese teórica de uma reacção nuclear despoletada artificialmente continuar indeterminadamente, em sucessivas cisões de átomos, eventualmente chegando à atmosfera. A matemática acabou por mostrar que tal evento seria improvável, mas quando o primeiro engenho atómico de teste foi detonado em Julho de 1945, haveria ainda uma hipótese ínfima de uma catastrófica ignição da atmosfera. Por estes dias as instituições europeias prestam-se a um exercício semelhante no plano digital. A grande diferença estás nas probabilidades: seguindo no rumo actual, a ignição da atmosfera digital é um resultado quase certo.

O nosso trabalho, os nossos negócios, os serviços que usamos, estão cada vez mais digitalizados. Quase tudo o que fazemos hoje passa por software a algum momento. Software esse que não é perfeito, tem falhas e vulnerabilidades, que por vezes expõem dados sensíveis intencionalmente ou permitem acesso a terceiros a sistemas críticos. Tudo isto tem custos, financeiros e outros, que Comissão, Parlamento e Conselho Europeus pretendem agora abordar com nova legislação. O acto legislativo sobre a ciber-resiliência (CRA, do inglês Cyber Resilience Act), é o resultado, pretendendo mudar radicalmente a forma como se cria e distribui software na União Europeia. As premissas para esta legislação são grosso modo acertadas, mas como diz o ditado, de boas intenções está o inferno cheio.

Para quem conhece os processos modernos de criação de software o texto do CRA começa por ser um grande enigma. O confronto com termos como “producto acabado”, “fabricante”, “mercado” ou “actividade comercial”, é um verdadeiro desafio. Uma conclusão instala-se: quem redigiu o CRA não conhece de todo o mundo digital e os processos que lhe estão subjacentes. O software não é um produto industrial, como um automóvel que sai de uma linha de montagem ou um pacote de tomates embalados. Mais de noventa porcento do software utilizado na UE é criado em regime de código aberto (open source, como é conhecido em Inglês) sendo na realidade um bem comum no qual qualquer pessoa pode participar e do qual todos desfrutamos.

Desenvolver software (como se diz na gíria) é um processo eminentemente criativo, parece-se mais com uma construcção com legos. É também um processo aberto e transparente, para o qual qualquer pessoa pode contribuir (não só com código fonte mas também com documentação e conteúdos de ensino). E acima de tudo, o software está em constante adaptação, respondendo a novos standards, novas tecnologias e métodos. É como brincar com um jogo de lego cujas peças estão constantemente a mudar de forma. Neste domínio não há produtos, mas sim projectos, não há fabricantes, mas sim contribuidores, não há uma industria, mas sim uma comunidade de pessoas e um ecossistema de projectos. As empresas neste espaço não fabricam ou vendem produtos, simplesmente prestam serviços aos utilizadores de software. Na Europa a quase totalidade destas são pequenas e médias empresas (PMEs).

As instituições europeias estão a tentar legislar a economia moderna com conceitos do século XX. O CRA contém vários erros fundamentais, mas o mais importante está na comparação do sofware aberto a um producto manufacturado, pelo qual alguém em particular é inteiramente responsável. Os programadores passam a responder por vulnerabilidades, falhas de certificação e possíveis consequências. A multa mínima cifra-se em três milhões de euros. Para compreender o resultado último do CRA deixe-me contar-lhe uma história.

Na aldeia onde nasceu o meu pai existe ainda hoje um forno comunitário. Já não é utilizado, mas durante séculos foi onde todo o pão e broa consumidos na aldeia foram cozidos. O forno não pertence a qualquer aldeão e todos o utilizavam. A cada semana uma das famílias acendia o fogo no forno, com a sua própria lenha. Enquanto o forno permanecesse quente todas as outras famílias o utilizavam, sem qualquer gasto. Este esquema funcionava pois todas as famílias beneficiavam sempre que alguém acendesse o lume, isto contra uma contribuição ocasional de cada família individual. Imagine pois que uma nova lei responsabilizasse a família que acendesse o lume pela salubridade de todas as broas cozidas no forno nessa ocasião. Consegue imaginar o que aconteceria então ao forno comunitário? O CRA está a colocar um dilema semelhante.

Na comunidade têm-se usado termos como “congelamento” ou “paralisação” para descrever as implicações do CRA. Muitos projectos não estão sequer associados a instituições que possam assumir as responsabilidades impostas pelo CRA, noutros casos será o avultado das penalizações, muito acima das possibilidades de fundações ou PMEs. Mais ainda, a maioria dos projectos são internacionais, havendo pouca motivação para responder a caprichos europeus. A expectativa é que a maioria dos projectos de software aberto simplesmente desaparecerem do espaço digital europeu (o que arrastará também muitos projectos fechados). Segundo a Fundação Eclipse estão em causa cerca de cem mil postos de trabalho directos e dezenas de milhar de PMEs. Mas essa é só a ponta do iceberg.

O BomDia.eu é um bom exemplo. As páginas desta publicação são servidas por um projecto de software chamado WordPress, um dos maiores a nível global na gestão de conteúdos. Junto com outros pesos pesados desta área o projecto WordPress deixou recentemente claro numa carta aberta que não terá condições para continuar a operar na Europa caso o CRA seja aprovado nos termos em que está redigido. Quer isto dizer que até ao fim de 2024 o BomDia.eu será obrigado a procurar uma tecnologia alternativa e conduzir um dispendioso processo de migração de conteúdos e utilizadores. Isto assumindo que algum projecto alternativo consiga a certificação a tempo e a um custo suportável. De outro modo talvez seja possível ao BomDia.eu mudar a sua infraestrutura para fora da UE e servir a publicação a partir do estrangeiro. Compreende o alcance do problema? Sabe de quantos projectos de software aberto depende a instituição onde trabalha?

Termino com uma observação mais abrangente. Tal como muito do mundo dito ocidental (economias de mercado aliadas a democracias representativas) a Europa tem vindo a registar um crescimento de forças políticas e movimentos sociais contra-sistema, alimentados por cidadãos que se sentem esquecidos, marginalizados, enfim, não representados. A catástrofe que o CRA ameça criar apresenta uma pista concreta para esta estado de coisas: um legislador que perdeu a consciência do que é a economia real. Não compreende os processos subjacentes e é incapaz de envolver eficazmente os intervenientes. Será uma consequência do paradigma dos políticos profissionais? Onde os representantes democráticos não experimentam o mundo profissional dos representados?

Para além de corrigir (profundamente) o texto do CRA, é hora de o legislador mudar. Descarregar o upgrade e adaptar-se ao século XXI. A sociedade está mais que preparada para encetar iniciativas legislativas de baixo para cima (bottom-up), com o legislador a convidar a comunidade relevante a produzir uma primeira proposta de legislação. Se há comunidade habituada a encontrar consensos e a processos criativos por compromisso é a do código aberto.

Luís Moreira de Sousa